blog
DONNÉES PERSONNELLES ET ALERTES PROFESSIONNELLES : MODIFICATION DE L’AUTORISATION UNIQUE N°AU-004 DE LA CNIL
4 septembre 2017

La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite « Loi Sapin II » est venue instituer un régime commun d’alerte pour les entreprises privées et publiques de 50 salariés et plus, les administrations, les communes ou intercommunalités de plus de 10 000 habitants, les département et les régions.

Si les dispositifs d’alerte professionnelle (ou de « whistleblowing ») existaient déjà  en France depuis plusieurs années pour répondre à des obligations légales propres à certains secteurs (réglementation fiscale et comptable, lutte contre le harcèlement, sécurité…), la loi Sapin II étend considérablement le nombre d’entreprises tenues de mettre en place une procédure de signalement lesquelles devront adapter leurs règles internes avant le 1er janvier prochain, date d’entrée en vigueur du décret d’application.

Afin d’aider les entreprises dans ce travail et tout en veillant au respect de la loi « Informatique et Libertés », CNIL est venue modifier son autorisation unique n°AU-004 du 8 décembre 2005 relative aux traitements de données personnelles effectuées dans le cadre de ces dispositifs d’alerte.

Champ d’application

Désormais, le champ de l’AU-004 est délimité non plus par rapport aux secteurs d’activité concernés par les alertes mais par rapport à la nature des manquements signalés par le lanceur d’alerte à savoir relatives à:

  • un crime ou délit ;
  • une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste de la loi ou du règlement ;
  • une menace ou un préjudice grave pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
  • aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers (AMF), et dont la surveillance est assurée par l’AMF ou l’Autorité de Contrôle Prudentiel et de Résolution ;
  • l’existence de conduites ou de situations contraires au code de conduite de la sociétés, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

A noter que l’autorisation AU-004 ne couvre pas les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical ainsi que par le secret des relations entre un avocat et son client. Pour le traitement de ces alertes, une demande d’autorisation spécifique devra être adressée à  la CNIL.

Le lanceur d’alerte

Le lanceur d’alerte peut être un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel sous réserve que le signalement soit en toute hypothèse effectué de manière désintéressée et de bonne foi.

S’agissant de la question du caractère anonyme ou non de l’alerte, la CNIL rappelle la nécessité d’identifier les personnes auteurs d’un signalement mais permet les alertes anonymes lorsque :

  • la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés ; et que
  • le traitement de cette alerte est entouré de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif.

En tout état, les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.

Enfin, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère de l’alerte.

Quelles données ?

Seules les catégories de données suivantes peuvent être traitées :

  • l’identité, fonctions et coordonnées de l’auteur de l’alerte professionnelle ;
  • l’identité, fonctions et coordonnées des personnes faisant l’objet d’une alerte ;
  • l’identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
  • les faits signalés ;
  • les éléments recueillis dans le cadre de la vérification des faits signalés ;
  • le compte rendu des opérations de vérification ;
  • les suites données à l’alerte.

Qui va recevoir les données ?

Sauf disposition légale ou règlementaire, les signalements sont adressés au supérieur hiérarchique direct ou indirect, à l’employeur ou au référent désigné par lui.

Ces derniers ne doivent être destinataires que des seules données nécessaires à l’accomplissement de leurs missions.

Dans les limites de leurs attributions, peuvent également accéder aux données  :

  • les personnes spécialement chargées de la gestion des alertes professionnelles au sein du groupe de sociétés auquel appartient l’organisme concerné dès lors que cette communication est nécessaire aux seuls besoins de la vérification ou du traitement de l’alerte ;
  • s’il est fait recours à un référent ou prestataire de service pour recueillir ou traiter les alertes, les personnes spécialement chargées de ces missions au sein de cet organisme.

Il appartient au responsable de traitement, avant chaque transmission de données, d’opérer un tri parmi ces dernières pour s’assurer que le destinataire accède aux seules données strictement nécessaires et proportionnées au regard de la justification de la communication.

Pendant combien de temps ?

Lorsqu’une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement, les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications.

Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure.

Une information nécessaire

La CNIL opère une distinction entre i) les utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel, les collaborateurs extérieurs et occasionnels et ii) les personnes visées par l’alerte.

Les utilisateurs potentiels du dispositif

Au-delà de l’information collective et individuelle prévue par le Code du travail, et conformément à la loi « Informatique et Libertés », cette information précise notamment :

  • l’identification de l’entité responsable du dispositif ;
  • les objectifs poursuivis et les domaines concernés par les alertes ;
  • le caractère facultatif du dispositif ;
  • l’absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif ;
  • les éventuels transferts de données à caractère personnel à destination d’un Etat non membre de la Communauté Européenne ; et
  • l’existence d’un droit d’accès, de rectification et d’opposition au bénéfice des personnes identifiées dans le cadre de ce dispositif.

L’information précise également les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut leur être adressée, conformément aux dispositions de la loi Sapin II.

Il doit être clairement indiqué que :

  • l’utilisation abusive du dispositif peut exposer son auteur à des sanctions disciplinaires ainsi qu’à des poursuites judiciaires ;
  • à l’inverse, l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, n’exposera son auteur à aucune sanction disciplinaire.

Information de la personne visée par l’alerte

Outre l’information visée ci-dessus, la personne qui fait l’objet d’une alerte est informée par le responsable du dispositif dès l’enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s’opposer au traitement de ces données.

Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures.

Quel impact pour les entreprises ?

Dans la mesure où le nouveau champ d’application de l’AU-004 couvre ceux antérieurement listés, les organismes qui auraient déjà accompli des formalités n’ont aucune démarche à effectuer sur ce point. Il est néanmoins nécessaire de s’assurer du respect des nouvelles conditions posées par le texte.

Si aucune formalités n’a été accomplie, il conviendra de procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d »autorisation spécifique si votre traitement n’est  pas conforme à l’AU-004.

blog
DONNÉES PERSONNELLES ET ALERTES PROFESSIONNELLES : MODIFICATION DE L’AUTORISATION UNIQUE N°AU-004 DE LA CNIL
4 September 2017

La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite « Loi Sapin II » est venue instituer un régime commun d’alerte pour les entreprises privées et publiques de 50 salariés et plus, les administrations, les communes ou intercommunalités de plus de 10 000 habitants, les département et les régions.

Si les dispositifs d’alerte professionnelle (ou de « whistleblowing ») existaient déjà  en France depuis plusieurs années pour répondre à des obligations légales propres à certains secteurs (réglementation fiscale et comptable, lutte contre le harcèlement, sécurité…), la loi Sapin II étend considérablement le nombre d’entreprises tenues de mettre en place une procédure de signalement lesquelles devront adapter leurs règles internes avant le 1er janvier prochain, date d’entrée en vigueur du décret d’application.

Afin d’aider les entreprises dans ce travail et tout en veillant au respect de la loi « Informatique et Libertés », CNIL est venue modifier son autorisation unique n°AU-004 du 8 décembre 2005 relative aux traitements de données personnelles effectuées dans le cadre de ces dispositifs d’alerte.

Champ d’application

Désormais, le champ de l’AU-004 est délimité non plus par rapport aux secteurs d’activité concernés par les alertes mais par rapport à la nature des manquements signalés par le lanceur d’alerte à savoir relatives à:

  • un crime ou délit ;
  • une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste de la loi ou du règlement ;
  • une menace ou un préjudice grave pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
  • aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers (AMF), et dont la surveillance est assurée par l’AMF ou l’Autorité de Contrôle Prudentiel et de Résolution ;
  • l’existence de conduites ou de situations contraires au code de conduite de la sociétés, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

A noter que l’autorisation AU-004 ne couvre pas les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical ainsi que par le secret des relations entre un avocat et son client. Pour le traitement de ces alertes, une demande d’autorisation spécifique devra être adressée à  la CNIL.

Le lanceur d’alerte

Le lanceur d’alerte peut être un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel sous réserve que le signalement soit en toute hypothèse effectué de manière désintéressée et de bonne foi.

S’agissant de la question du caractère anonyme ou non de l’alerte, la CNIL rappelle la nécessité d’identifier les personnes auteurs d’un signalement mais permet les alertes anonymes lorsque :

  • la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés ; et que
  • le traitement de cette alerte est entouré de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif.

En tout état, les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.

Enfin, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère de l’alerte.

Quelles données ?

Seules les catégories de données suivantes peuvent être traitées :

  • l’identité, fonctions et coordonnées de l’auteur de l’alerte professionnelle ;
  • l’identité, fonctions et coordonnées des personnes faisant l’objet d’une alerte ;
  • l’identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
  • les faits signalés ;
  • les éléments recueillis dans le cadre de la vérification des faits signalés ;
  • le compte rendu des opérations de vérification ;
  • les suites données à l’alerte.

Qui va recevoir les données ?

Sauf disposition légale ou règlementaire, les signalements sont adressés au supérieur hiérarchique direct ou indirect, à l’employeur ou au référent désigné par lui.

Ces derniers ne doivent être destinataires que des seules données nécessaires à l’accomplissement de leurs missions.

Dans les limites de leurs attributions, peuvent également accéder aux données  :

  • les personnes spécialement chargées de la gestion des alertes professionnelles au sein du groupe de sociétés auquel appartient l’organisme concerné dès lors que cette communication est nécessaire aux seuls besoins de la vérification ou du traitement de l’alerte ;
  • s’il est fait recours à un référent ou prestataire de service pour recueillir ou traiter les alertes, les personnes spécialement chargées de ces missions au sein de cet organisme.

Il appartient au responsable de traitement, avant chaque transmission de données, d’opérer un tri parmi ces dernières pour s’assurer que le destinataire accède aux seules données strictement nécessaires et proportionnées au regard de la justification de la communication.

Pendant combien de temps ?

Lorsqu’une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement, les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications.

Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure.

Une information nécessaire

La CNIL opère une distinction entre i) les utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel, les collaborateurs extérieurs et occasionnels et ii) les personnes visées par l’alerte.

Les utilisateurs potentiels du dispositif

Au-delà de l’information collective et individuelle prévue par le Code du travail, et conformément à la loi « Informatique et Libertés », cette information précise notamment :

  • l’identification de l’entité responsable du dispositif ;
  • les objectifs poursuivis et les domaines concernés par les alertes ;
  • le caractère facultatif du dispositif ;
  • l’absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif ;
  • les éventuels transferts de données à caractère personnel à destination d’un Etat non membre de la Communauté Européenne ; et
  • l’existence d’un droit d’accès, de rectification et d’opposition au bénéfice des personnes identifiées dans le cadre de ce dispositif.

L’information précise également les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut leur être adressée, conformément aux dispositions de la loi Sapin II.

Il doit être clairement indiqué que :

  • l’utilisation abusive du dispositif peut exposer son auteur à des sanctions disciplinaires ainsi qu’à des poursuites judiciaires ;
  • à l’inverse, l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, n’exposera son auteur à aucune sanction disciplinaire.

Information de la personne visée par l’alerte

Outre l’information visée ci-dessus, la personne qui fait l’objet d’une alerte est informée par le responsable du dispositif dès l’enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s’opposer au traitement de ces données.

Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures.

Quel impact pour les entreprises ?

Dans la mesure où le nouveau champ d’application de l’AU-004 couvre ceux antérieurement listés, les organismes qui auraient déjà accompli des formalités n’ont aucune démarche à effectuer sur ce point. Il est néanmoins nécessaire de s’assurer du respect des nouvelles conditions posées par le texte.

Si aucune formalités n’a été accomplie, il conviendra de procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d »autorisation spécifique si votre traitement n’est  pas conforme à l’AU-004.